cedekasme
-
Compteur de contenus
16 -
Inscription
-
Dernière visite
cedekasme's Achievements
Junior Member (3/12)
0
Réputation sur la communauté
-
PC long au démarrage et rootkit détecté
cedekasme a posté un sujet dans Analyses et éradication malwares
Bonjour, Je me permets de poster ici car j'ai eu plusieurs soucis de virus/rootkit sur l'ordinateur d'un membre de ma famille. Le rootkit détecté avec RogueKiller était ZeroAccess. J'ai ensuite lancé ComboFix plusieurs fois de suite pour le supprimer. Il a détecté que le rootkit était présent dans la couche TCP/IP (ce à quoi j'ai lié le fait que je n'arrivais pas à obtenir une adresse IP pour me connecter au net). Or, maintenant au démarrage, le PC met énormément de temps pour charger le bureau. Aussi, j'ai toujours le problème d'accès à internet (aucune adresse IP ne m'est fournie sur ma connexion). Voici le rapport HiJackThis que j'ai récupéré en espérant que vous pourrez m'aider : Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 21:02:56, on 26/12/2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe C:\Program Files\Alwil Software\Avast5\AvastSvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Google\Update\1.3.21.79\GoogleCrashHandler.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe C:\Program Files\CheckPoint\ZAForceField\ForceField.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France [/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: ZoneAlarm Toolbar - {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - C:\Program Files\ZoneAlarm\tbZon1.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: ZoneAlarm Toolbar - {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - C:\Program Files\ZoneAlarm\tbZon1.dll O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo Layers Runtime\YontooIEClient.dll O3 - Toolbar: ZoneAlarm Toolbar - {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - C:\Program Files\ZoneAlarm\tbZon1.dll O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [iSW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden" O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash O4 - HKCU\..\Run: [Jing] C:\Program Files\TechSmith\Jing\Jing.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: McAfee Security Scan Plus.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msoclip1/01/clip_image001.jpg O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msoclip1/01/clip_image002.jpg O24 - Desktop Component 2: (no name) - [url=http://www.stupiditiz.com/wp-content/uploads/2009/07/voiture-star-wars.jpg][url=http://www.stupiditiz.com/wp-content/uploads/2009/07/voiture-star-wars.jpg]http://www.stupiditiz.com/wp-content/uploads/2009/07/voiture-star-wars.jpg[/url][/url] -- End of file - 8582 bytes Je vous remercie d'avance pour votre aide. -
Bonjour Bruce ! Es-tu sûr qu'il faille fixer la ligne toolbar systran ? Car il s'agit en fait d'une barre d'outils de Systran qui lui permet de faire la traduction de pages sous IE. Je te pose la question car je voulais être sûr de ne pas faire n'importe quoi. En te remerciant.
-
Merci de m'avoir répondu J'ai mis un certain temps avant de répondre car j'ai mis à jour Windows via Windows Update et je dois dire qu'il en avait pas mal a faire vu qu'il avait tout bonnement enlever les mises à jours automatiques... D'ailleurs, il en reste encore à faire. Donc j'ai fait ce que tu m'as dit et voilà les résultats : SDFix: Version 1.75 Run by Jean-Louis RAFIN - 28/03/2007 - 13:53:48,74 Microsoft Windows XP [version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: MSDisk MSWindows ImagePath: "C:\WINDOWS\System32\irdvxc.exe" /service "C:\WINDOWS\System32\urdvxc.exe" /service MSDisk Deleted MSWindows Deleted Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: C:\WINDOWS\SYSTEM32\WINOCX.EXE - Deleted C:\WINDOWS\system32\eraseme_45253.exe - Deleted C:\WINDOWS\system32\i - Deleted C:\WINDOWS\system32\WinOcx.exe - Deleted C:\WINDOWS\Temp\$_2341235.TMP - Deleted ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\Program Files\\Logitech\\Harmony Remote\\HarmonyClient.exe"="C:\\Program Files\\Logitech\\Harmony Remote\\HarmonyClient.exe:*:Enabled:Logitech Harmony Remote Software V5" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\\Program Files\\Logitech\\Harmony Remote\\HarmonyClient.exe"="C:\\Program Files\\Logitech\\Harmony Remote\\HarmonyClient.exe:*:Enabled:Logitech Harmony Remote Software V5" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe C:\Program Files\Picasa2\setup.exe C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL0005.tmp C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL0820.tmp C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL1190.tmp C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL1486.tmp C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL2143.tmp C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL3650.tmp C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL3834.tmp C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL3885.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR11D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR11E.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR11F.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR120.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR121.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12A.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12B.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12C.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12E.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12F.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR130.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR131.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR132.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR13C.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR13D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR13E.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR13F.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR140.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR141.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR142.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR143.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR144.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR14D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR14E.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR14F.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR150.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR151.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR152.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR15B.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR15C.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR15D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR15E.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR15F.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR160.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR161.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR162.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16A.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16B.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16C.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16E.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16F.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR11C.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR11D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR11E.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR11F.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR120.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR129.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12A.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12B.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12C.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12E.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12F.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR130.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR131.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR13B.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR13C.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR13D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR13E.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR13F.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR140.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR141.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR142.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR143.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR14C.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR14D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR14E.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR14F.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR150.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR151.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15A.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15B.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15C.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15E.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15F.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR160.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR161.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR169.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR16A.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR16B.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR16C.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR16D.tmp C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR16E.tmp C:\WINDOWS\system32\wupdmgr.tmp C:\WINDOWS\system32\config\default.tmp.LOG C:\WINDOWS\system32\config\software.tmp.LOG C:\WINDOWS\system32\config\system.tmp.LOG Finished Logfile of HijackThis v1.99.1 Scan saved at 14:10:49, on 28/03/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\notepad.exe C:\WINDOWS\SOUNDMAN.EXE C:\program files\alwil software\avast4\ashdisp.exe C:\Program Files\Spybot\TeaTimer.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Program Files\Internet Explorer\iexplore.exe C:\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing) O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [VTPreset] VTPreset.exe O4 - HKLM\..\Run: [Dynamic Desktop Media] C:\WINDOWS\System32\sysu.exe O4 - HKLM\..\Run: [Cydoor] C:\WINDOWS\System32\cd_htm.dll O4 - HKLM\..\Run: [CWS HiJacker] C:\WINDOWS\msxmlfilt.dll O4 - HKLM\..\Run: [Avast] C:\program files\alwil software\avast4\ashdisp.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/lookup.js O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/translate.js O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_03) - O17 - HKLM\System\CCS\Services\Tcpip\..\{86FDCE01-D03F-4EF4-9CCD-7CD6674DBB10}: NameServer = 193.252.19.3,193.252.19.4 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.246.7 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.246.7 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.246.7 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
-
Bonjour à tous ! Je me permets de faire remonter ce topic car c'est le dernier jour où j'ai la possibilité de "m'occuper" de son ordinateur. Si quelqu'un à une solution pour erradiquer les infections, il est le bienvenu !
-
Merci pour ta rapidité bruce lee ! J'ai fait ce que tu m'as décrit, et je t'envoie donc le log de navilog : Search Navipromo version 1.0.8 commencé le 27/03/2007 à 14:33:42,07 !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! !!! Poster ce rapport sur le forum pour le faire analyser !!! !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!! Fix lancé depuis C:\Documents and Settings\Jean-Louis RAFIN\Bureau\Navilog Mise a jour le 26.03.2007 a 08h00 by IL-MAFIOSO Executé en mode normal *** Recherche Programmes installes *** *** Recherche dossiers dans C:\WINDOWS *** *** Recherche dossiers dans C:\Program Files *** *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data *** *** Recherche dossiers dans C:\Documents and Settings\Jean-Louis RAFIN\Application Data *** *** Recherche avec BlackLight Engine/F-secure *** BlackLight Engine est un produit de F-secure, pour + d'infos : http://www.f-secure.com/blacklight/blacklight_help.html F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR ====================================== Copyright 2005-2006 F-Secure Corporation. All rights reserved. This is a beta version. It will expire on 1st of April, 2007. Version information: 2.2.1055. [+] Started on 03/27/07 at 14:33:42. [+] Initializing ... [+] Starting scan, press Ctrl-C to abort. [+] Scanning for hidden items ......................................................................................... [+] Scan complete. [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming. [+] Exited on 03/27/07 at 14:42:50 (return code = 0). *** Recherche fichiers *** *** Recherche cles registre *** Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] Recherche Clé Magic Control *** Module de recherche complémentaire *** (recherche fichiers spécifiques) 1)Recherche fichiers connus: 2)Recherche Heuristique : * ** *** **** ***** ****** ******* ******** *** Analyse Terminé le 27/03/2007 à 14:43:10,05 *** J'espère que cela pourra t'aider. Merci encore !
-
Bonjour à tous ! Le PC de mon patron se retrouve sans cesse infecté par des virus. Le dernier scan qu'il a effectué avec Avast' lui a trouvé plus d'une vingtaine de virus. Il rencontre en permanence des problèmes avec son ordinateur : fenêtre intempestive, lancement d'internet explorer interminable... Je m'en remet à vous pour savoir s'il reste effectivement des malwares. J'ai effectué les étapes de pré-nettoyage avant de poster ici. Le scan avec antivir ne m'a trouvé aucun virus en mode sans échec. Je vous poste le log d'HiJackThis : Logfile of HijackThis v1.99.1 Scan saved at 13:58:38, on 27/03/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\program files\alwil software\avast4\ashdisp.exe C:\Program Files\Spybot\TeaTimer.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\HiJackThis\HijackThis.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing) O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [VTPreset] VTPreset.exe O4 - HKLM\..\Run: [Dynamic Desktop Media] C:\WINDOWS\System32\sysu.exe O4 - HKLM\..\Run: [Cydoor] C:\WINDOWS\System32\cd_htm.dll O4 - HKLM\..\Run: [CWS HiJacker] C:\WINDOWS\msxmlfilt.dll O4 - HKLM\..\Run: [Avast] C:\program files\alwil software\avast4\ashdisp.exe O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot\TeaTimer.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/lookup.js O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/translate.js O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_03) - O17 - HKLM\System\CCS\Services\Tcpip\..\{86FDCE01-D03F-4EF4-9CCD-7CD6674DBB10}: NameServer = 193.252.19.3,193.252.19.4 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.246.7 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.246.7 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.24a6.7 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing) O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing) O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe En espérant que vous pourrez m'aider. Cordialement.
-
Rapport HiJackThis
cedekasme a répondu à un(e) sujet de cedekasme dans Analyses et éradication malwares
Bon apparemment mon ordi vient de remarcher comme avant... Je ne sais pas pourquoi mais ça marche ! J'étais embeter car c'était l'ordi de mon boulot... Mais comme ça remarche c'est nikel ! Tant que j'y suis, est ce qu'il vous serait possible de jeter un coup d'oeil à mon rapport voir si tout va bien ? En vous remerciant. -
Rapport HiJackThis
cedekasme a répondu à un(e) sujet de cedekasme dans Analyses et éradication malwares
Personne n'a de solutions ?? -
Salut, Je pense qu'ils en sont capable mais pour cela, il faudrait que tu postes le rapport d'HiJackThis... @ bientôt!
-
Bonjour à tous, Depuis ce matin, je me suis retrouvé avec un gros problème d'affichage sur mon ordinateur. En effet, ma souris s'est vue remplacée par un gros carré blanc qui tend vers la transparence et une partie de mon bureau se retrouve affichée en haut de l'écran. Et lorsque je passe ma souris en haut de l'écran, l'affichage se réactualise en bas... Ce que je dis peut ne pas paraître clair mais c'est bien ce qui se passe. J'ai cru que cela aurait pu provenir des pilotes de ma carte graphique, mais non... Après installation des derniers pilotes de ma carte, toujours le même problème. J'ai donc effectué une analyse antivirus avec Avast! en mode sans échec (qui n'a rien donné) et un scan avec spybot mais le problème persiste. Je me permet donc de vous envoyer un rapport HiJackThis pour que vous puissiez m'aider. Logfile of HijackThis v1.99.1 Scan saved at 14:22:19, on 25/09/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Borland\InterBase\bin\ibguard.exe C:\Program Files\RDS\RsiSvc.exe C:\Program Files\RDS\srscandr.exe C:\Program Files\RDS\ddsschednt.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Borland\InterBase\bin\ibserver.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\windows\system\hpsysdrv.exe C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe C:\WINDOWS\System32\hphmon05.exe C:\HP\KBD\KBD.EXE C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\ALCXMNTR.EXE C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\pchbutton.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\RDS\dds.exe C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe C:\Program Files\RDS\spooler.exe C:\WINDOWS\system32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr10.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr10.hpwis.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr10.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr10.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr10.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr10.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr10.hpwis.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\pchbutton.exe O4 - Global Startup: Démarrer les services de distribution.lnk = ? O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158736722125 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158736710343 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - file://C:\psdk\controls\sdkinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{97F1A2FD-CB8B-4D69-8211-2CD05ECCE99F}: NameServer = 193.252.19.3,193.252.19.4 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Dds Scheduler Deamon (DdsSched) - RICOH Company Ltd. - C:\Program Files\RDS\ddsschednt.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Ridoc Server Information Service (RsiSvc) - RICOH Company Ltd. - C:\Program Files\RDS\RsiSvc.exe O23 - Service: ScanRouterDriverV2 - Ricoh Co.,Ltd. - C:\Program Files\RDS\srscandr.exe O23 - Service: SOption - RICOH Company Ltd. - C:\Program Files\RDS\SOption.exe Je vous remercie pour votre aide.
-
Rapport HiJackThis
cedekasme a répondu à un(e) sujet de cedekasme dans Analyses et éradication malwares
Non non c bon !! Tout marche impec' grâce à toi je t'en remercie ! -
Rapport HiJackThis
cedekasme a répondu à un(e) sujet de cedekasme dans Analyses et éradication malwares
C'est re-moi ! Donc voila, j'ai fait tout ce ke tu m'as dit !! Et apparemment ça a marcher niiikel !! Antivir ne me detecte plus les troyens au demarrage de internet explorer ! Je te poste le log de HiJackThis au cas ou, tu trouves autre chose Merci encore @ toi Jack_Burton !! **************************************************** Logfile of HijackThis v1.99.1 Scan saved at 16:01:02, on 08/11/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\AVPersonal\AVSCHED32.EXE C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\Program Files\AMD\PowerNow!\GemServ.exe C:\Program Files\AMD\PowerNow!\gemback.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\HijackThis\HijackThis.exe C:\WINDOWS\System32\imapi.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [VTPreset] VTPreset.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSCHED32.EXE /min O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{86FDCE01-D03F-4EF4-9CCD-7CD6674DBB10}: NameServer = 193.252.19.3,193.252.19.4 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: AMD PowerNow! Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\PowerNow!\GemServ.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe -
Rapport HiJackThis
cedekasme a répondu à un(e) sujet de cedekasme dans Analyses et éradication malwares
Ok, merci encore pour ton aide ! Bon ben je m'y met de suite alors ! Je te tiens au courant kan j'aurais fini ! -
Rapport HiJackThis
cedekasme a répondu à un(e) sujet de cedekasme dans Analyses et éradication malwares
J'ai fait ce ke tu m'as di ! Mais, j'ai eu un petit probleme avec l'antivirus en ligne... Internet explorer se plantait a chaque fois ke je tentais d'acceder a la page ke tu me donnais. J'ai tenté plusieurs fois de le faire marcher, mais en vain... Je te poste kan meme le reste des rapports. En vous remerciant ! ********************************************** Logfile of HijackThis v1.99.1 Scan saved at 14:58:21, on 08/11/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe C:\program files\quicktime\qttask.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\AVPersonal\AVSCHED32.EXE C:\WINDOWS\system32\ieyr.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINDOWS\system32\sdkpe.exe C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\Program Files\AMD\PowerNow!\GemServ.exe C:\Program Files\AMD\PowerNow!\gemback.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O2 - BHO: Class - {05A31BEE-9E35-88EA-21E0-006563AE97F4} - C:\WINDOWS\ntyn.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {2D6035DE-3120-DCA0-6CA3-399E0B83B881} - C:\WINDOWS\system32\addmj32.dll O2 - BHO: Class - {BFD9FA3A-C0CE-30AE-2B7C-0F987054EF24} - C:\WINDOWS\system32\netjr.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [VTPreset] VTPreset.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [ieyr.exe] C:\WINDOWS\system32\ieyr.exe O4 - HKLM\..\Run: [100.tmp] C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp\100.tmp.exe O4 - HKLM\..\Run: [101.tmp] C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp\101.tmp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131438419023 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102...all/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{86FDCE01-D03F-4EF4-9CCD-7CD6674DBB10}: NameServer = 193.252.19.3,193.252.19.4 O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkpe.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: AMD PowerNow! Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\PowerNow!\GemServ.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe ************************************************** VundoFix V2.15 by Atri -------------------------------------------------------------------------------------- Listing files contained in the vundofix folder. -------------------------------------------------------------------------------------- killvundo.bat process.exe ReadMe.txt vundo.reg vundofix.txt -------------------------------------------------------------------------------------- Filepaths entered -------------------------------------------------------------------------------------- The filepath entered was C:\WINDOWS\system32\ntyn.dll The second filepath entered was C:\WINDOWS\system32\ntyn.* -------------------------------------------------------------------------------------- Log from Process -------------------------------------------------------------------------------------- Killing PID 124 'smss.exe' Killing PID 664 'explorer.exe' Killing PID 196 'winlogon.exe' -------------------------------------------------------------------------------------- C:\WINDOWS\system32\ntyn.dll Deleted sucessfully. C:\WINDOWS\system32\ntyn.* Deleted sucessfully. Fixing Registry -------------------------------------------------------------------------------------- -
Rapport HiJackThis
cedekasme a répondu à un(e) sujet de cedekasme dans Analyses et éradication malwares
Merci pour vos reponses !! Je vais faire ça de suite ! Je vous tien au courant !